Обход антивируса, как написать сэмпл, НЕ делиться им с антивирусами и о скорости реакции антивирусов. Есть такая утилита в пакете Kali Linux как Veil, которая позволяет обходить установленную антивирусную защитускачивать и устанавливать пейлоады из Metasploit framework и из предстоящих версий Metasploitпытаться создать пейлоад максимально случайным и трунораспознаваемым. Последняя текущая версия Veil 2. С недавних пор v. Veil стал поддерживать архитектуры x. Мануалы лежат тут http www. Chris. TruncerVeil или отсюда https github. Chris. TruncerVeilarchivemaster. Скрипты Для Обхода Антивируса' title='Скрипты Для Обхода Антивируса' />Есть такая утилита в пакете Kali Linux как Veil, которая позволяет обходить установленную антивирусную защиту скачивать и. А ведь достаточно легко самостоятельно спрятать троян от назойливых антивирусов, даже таких известных, как NOD и Dr. У нас в компании есть правило, по которому моментально можно установить качество скрипта. Если в скрипте блок обхода секретаря. Системный кодинг это не веб, где можно скачать скрипт, чтото там. Важно отметить, что разработчики Veil не хотят поддерживать возможность загрузки пейлоадов на www. Есть альтернатива этого ресурса vscan. ПО и предлагает опцию не предоставлять сэмпл Do not distribute the sample. Установка Veil под Kali Linux apt get updateapt get install veil. Я выбрал pythonshellcode. Тут можно использовать некоторые специфические опции, но в примере используем опции по умолчанию да, я знаю что это плохо. Теперь используем msfvenom нажав 1После этого нам необходимо ввести некоторые дополнительные данные вводим название пейлоада из metasploit. В нашем случае имя будет. Для этого наберм 1. После этого можно забрать ехе шник из. В моем случае veil попытался поднять питон в эмуляторе Windows wine и это ему не удалось. Я зашел в папку root. Тут можно было бы разбираться разными способами, но я подумал что питон не родной компилятор для виндовс систем и гораздо ближе и роднее компилятор си было поздно и хотелось дойти до конца этой статьи еще сегодня. Кстати, тем кто не любит интерактивных интерфейсов, скажу что все эти действия можно было сделать примерно такой командой. Veil. py l python p pythonshellcode. Далее по аналогии с предыдущим примером задал командойset LHOST 1. Этот пейлоад я назвал по другому. Выдалось долгожданное сообщение об успехе компиляции пейлоада Теперь у нас есть исполняемый файл, для которого мы посчитаем md. Monitor Malicious Executable URLs. Сайт кушает URL, ссылки, адреса и md. Search DatabaseЗагрузим нашу сумму в окошко для мд. Жму кнопочку Search. Кстати, есть еще аналогичный анонимный и без расшаривания самплов ресурс. Его легко найти как показано на скрине ниже. Работает или нет не проверял, но пишут что есть 4 ежедневные бесплатные проверки 3. БЕЗ предоставления сэмпла третьим лицам. Теперь проверим скорость реакции антивирусов на новый сэмпл ведь сравнением именно этой скорости проще всего сравнить антивирусы. Для этого просто скормлю свой сэмпл вирустоталу не жалко и посмотрю отчет сразу и через некоторое время. Тоесть на момент компиляции сэмпла 1. Через сутки то же самое Выходит, что реакция антивирусов на новый сэмпл который выложен на вирустотале больше суток. НЕДЕЛЮ 1. 0. 0. 3. Короче, даже недели времени некоторым антивирусам мало, чтобы проработать и эффективно выявлять новый сэмпл. Даже мой, простой сэмпл через неделю распознают примерно половина антивирусов, судя по данным вирустотала. Учимся криптовать Профессиональные приемы обхода антивирусов. Странно осознавать, что многие люди, создающие трояны, вирусы или использующие готовые решения генераторы, нередко обращаются к услугам создателей приватных крипторов, нередко оказывающихся обычными поделками студентов, обладающих весьма посредственными знаниями в области вирусмейкинга, имеющих слабое представление о структуре PE файлов. Такой продукт может стоить десятки или даже сотни долларов, но при этом не обеспечивать даже минимальной защиты от разнообразных механизмов обнаружения вредоносных программ. А ведь достаточно легко самостоятельно спрятать троян от назойливых антивирусов, даже таких известных, как NOD и Dr. И совершенно бесплатно Читай ниже Подготовка к исследованиям. Перед тем, как приступить к работе, давай определимся с арсеналом инструментов. Во первых, криптовать будем давным давно известный всем антивирусам Pinch я намерено выбрал именно этот троян для исследований, поскольку билдеры для его построения и описание его конфигурации легко найти в Сети. В статье я опущу моменты, связанные с генерацией тела программы и созданием веб админки для проверки работоспособности пинча все необходимое для экспериментов, в том числе и руководства, ты можешь найти в зашифрованном RAR архиве на нашем DVD. Один из главных инструментов исследователя вирусов виртуальная машина VMWare с установленной Windows XP данное требование необязательно, однако очень желательно не экспериментировать с вредоносным ПО на собственной машине. Кроме прочего, нам понадобятся отладчик Olly. Dbg, редактор Win. Hex, утилита для работы с PE файлами Lord. PE. Ну и, разумеется, virustotal. Да, там сидят аналитики, и пользоваться услугами этого сайта для создания невидимого вируса сущее безумие, однако в наши планы не входит нарушение закона. Мы исследователи, поэтому пусть высоколобые реверсеры копаются в нашем коде на здоровье и работают над улучшением собственных продуктов. Остальное по вкусу и в зависимости от личных предпочтений. Итак, задраиваем люки и погружаемся в отладку. Будет интересно Прячем код. Сначала обратимся к тривиальным и давно известным нам методам сокрытия кода шифровке секции по константе. В своих статьях я уже не раз обращался к подобному коду. Удивительно, но простой XOR машинных кодов, находящихся в секции кода, позволяет избавиться от внимания аж четверти антивирусных программ Итак, откроем сгенерированный файл пинча pinch. Точка входа по умолчанию равна 1. По адресу 1. 31. 47. C2. 6 начинается поле сплошных нулей, оставленное компилятором для выравнивания секции. Нам это на руку здесь мы будем размещать наш код. Итак, взгляни на вид криптора 1. C3. 0 PUSHAD1. 31. C3. 1 MOV ECX,6. C2. F1. 31. 47. C3. 6 MOV EDX,DWORD PTR DS. После того, как изменения внесены, идем в Lord. PE, изменяем точку входа в программу на новую новое значение OEP равно 1. C3. 0, именно здесь и обосновался наш код и сохраняем программу. Но и это еще не все снова открываем программу в Olly. Dbg, выполняем код, внесенный нами для этого ты можешь установить точку останова по адресу 1. C4. 8 и выполнить программу, нажав ShiftF9. Таким образом, наш набор инструкций шифрует 6. C2. F байт. Теперь программу необходимо снова сохранить. Мы получили вполне работоспособный зашифрованный пинч. Идем на virustotal. Удивительно, но только 3. Двигаемся дальше. Продолжим наш эксперимент. Попробуем использовать механизм создания собственного обработчика исключений для выполнения одного из приемов, описанных мной на страницах журнала ранее. Поскольку метод разжеван, мы лишь адаптируем код для нашего случая, его функциональность полностью раскрывается в комментариях если что то все таки осталось неясным, отправляю тебя к рубрике Антиотладочные приемы за октябрь 2. C4. B XOR EAX,EAX обнуляем регистр. C4. D PUSH pinch. Эмуляторы кода, которые неспособны должным образом определить логику выполнения программы, полагают, что вслед за бесконечной рекурсией по адресу 1. C5. 8 произойдет передача управления на следующую инструкцию JMP pinch. На самом же деле, стек переполняется, вызывается исключение, а программа благополучно продолжает свою работу. Действуя таким образом, мы отметаем еще четыре антивируса только 2. Итак, мы отправили на прогулку лесом едва ли не половину антивирусов что же дальшеТеперь мы займемся более изощренными способами антиотладки и простейшей антиэмуляции. Продолжаем эксперимент. Возможно, многим покажется, что описанного выше уже достаточно, чтобы успешно распространять троянские программы, ведь шансы быть обнаруженными мы сократили вдвое. Это верно, однако мы отсекли лишь самые убогие антивирусы, которые совершенно не отвечают требованиям времени. В ходе экспериментов я выяснил, что и с мощной эмуляцией кода можно справиться, причем достаточно легко Для разминки, вставим в подопытный пинч несколько небольших кусков кода, которые закроют глаза нескольким антивирусам а заодно и многим реверсерам низкой квалификации. По адресу 1. 31. 47. C9. 0 я разместил криптор, аналогичный вышеописанному, который шифрует написанный нами антиотладочный код 4. Ch байт, начиная с адреса 1. C3. 0. На диске ты найдешь его код, здесь же его привести не позволяет объем статьи. Таким образом, мы скрыли от некоторых эвристических механизмов некоторые детали нашего механизма, усложнив работу необходимостью многоступенчатой распаковки. Имя ему обнуление точки входа. Действительно, совсем неправдоподобной выглядит ситуация, когда PE заголовок, располагающийся по нулевому смещению относительно Image. Base, является одновременно исполняемым кодом. Однако она более чем возможна. Открой отлаживаемый файл в Win. Примеры Решения Задач Тоэ. Hex и взгляни на байты данных, располагающиеся в самом начале файла 4. D 5. A 0. 0 0. 0 да да, это та самая буквенная сигнатура MZ, расположенная в начале PE файла. Взглянув на этот же PE заголовок в отладчике для этого нужно перейти по адресу 1. D DEC EBP1. 31. 40. A POP EDX1. 31. 40. ADD BYTE PTR DS. К сожалению, следом за ними располагается лишь два нулевых байта, а испортить MZ заголовок, записав межсегментный пятибайтный переход на антиотладочный код, мы не можем. Подумав с полминуты, можно найти верное решение. Взгляни на 1. 31. Здесь можно найти гораздо больше пяти нулевых байт. Слон здесь вряд ли поместится, но длинный переход вполне Итак, действуем следующим образом меняем нулевые байты, начиная с адреса 1. EB 2. 4 JMP SHORT 1. E9 6. 37. C0. 00. JMP 1. 31. 47c. 90. После выполненных процедур остается лишь сохранить программу, открыть ее на редактирование в Lord. PE и обнулить поле Entry. Point. Итак, все работает, и еще два антивируса сдались теперь лишь 2. Исследования показали, что пинч содержит четыре секции, две из которых. Поэтому необходимо зашифровать и их. Для этого полностью убираем код раскриптовки, заменяя его в Olly. Dbg на нули, и видим, что наш образец все равно палится как пинч Делаем вывод, что либо антивирусы методом перебора видят наш код, либо проверяют image base. Пробуем изменить Image base и, действительно, отметаем еще четыре антивируса. Lost in Time, или Dr. Web, не считающий время. Представь ситуацию мы располагаем тысячей программ, каждая из которых использует 1. Суммарное время задержки выполнения кода составит, что несложно подсчитать, 1. Таким образом, если антивирусный алгоритм в своей работе по настоящему эмулирует таймер, анализ тысячи подобных файлов займет у него вышеуказанное время. Конечно, реальная эмуляция таймеров нонсенс, и многие алгоритмы просто напросто нужным образом изменяют регистры или стек контекста процесса, если встречают одну из API функций, выполняющих задержку выполнения программы. Но все ли антивирусы настолько хороши Проверим на практике. Попробуем использовать таймер в своих целях, чтобы сравнять с землей эмуляцию кода. Итак, наш план использовать два замера времени, в промежутке между которыми будет тикать таймер. Впоследствии мы используем два временных штампа, чтобы вычислить разность между ними.